Desinformation, Betrug und Angriffe auf die Infrastruktur: Cyberbedrohungen sind allgegenwärtig und längst ein wichtiges Mittel der hybriden Kriegsführung. Das Wiener Cybersecurity-Unternehmen Alite nutzt militärisches Know-how, um Privatunternehmen vor Cyberangriffen sicherer zu machen. Ein Gespräch über falsche Sicherheitsgefühle, die Auswirkungen von KI und wie man am schnellsten in Computersysteme eindringt.
Spätestens seit dem Russland-Ukraine-Krieg (-> aktuelle Meldungen aus dem Ukraine-Krieg) sind Cyberangriffe zum greifbaren Bedrohungsszenario geworden. Einschätzungen zufolge handelt es sich um den ersten vollwertigen Cyberkrieg. Aber auch Konzerne und Unternehmen sind betroffen: Mittels KI-generierter Deepfake-Videos sind Millionenbetrügereien möglich, wie spektakuläre Fälle aus Hongkong zeigen. Klar ist: Die sich rasant entwickelnde digitale Welt birgt eine neue Risikolandschaft.
Das Wiener Unternehmen Alite ist spezialisiert auf die Cybersicherheit von Unternehmen und erstellt Risikoanalysen für spezifische Geschäftsfelder. Dahinter steckt viel militärisches Wissen: Alite-Mitgründer und Geschäftsführer Stefan Tödling ist Absolvent der Militärakademie in Wiener Neustadt und studierter Betriebswirt. Alite-Analyst David Jaklin ist Historiker und spezialisiert auf Sicherheitspolitik und Konfliktforschung. Er war an der Landesverteidigungsakademie tätig und arbeitete für sicherheitspolitische Thinktanks.
Herr Tödling, was genau macht Alite?
Stefan Tödling: Alite erstellt Bedrohungsanalysen für Unternehmen. Der Cyberbereich bildet hierbei den Schwerpunkt. Kurz gesagt: Wir verknüpfen militärisches Wissen und Vorgehensweisen mit IT-Know-how, um darauf aufbauend Risikoanalysen für Unternehmen zu erstellen und Sicherheitsmaßnahmen abzuleiten. Die Darstellung von Cyberbedrohungen wie aktuellen Ransomware- und Betrugsvarianten gehört ebenso dazu wie das Aufzeigen von Risiken hinsichtlich der Unterbrechung von Lieferketten durch geopolitische Entwicklungen. Also alles, was für das Funktionieren von Unternehmen wichtig ist. Von Fall zu Fall gehen wir auch tiefer: Dann schlüpfen wir in die Rolle der Angreifer – im Auftrag des Unternehmens. Wir überlegen uns, was für potenzielle Eindringlinge an einer Firma spannend wäre und welche Informationen man wie gewinnen könnte. Genauso analysieren wir, wie sich diese Informationen verwerten lassen. Es geht darum, Wege zu finden, wie man einem Unternehmen maximal schaden kann. Daraus leiten wir in der Folge Sicherheitslösungen ab.
„Durch umfassendes Aufklären großer Unternehmen haben wir über Jahre demonstriert, wie sich militärisches Wissen auf Großunternehmen und mittelständische Unternehmen anwenden und übersetzen lässt.“
Stefan Tödling von Elite
Wie gehen Sie prinzipiell vor? Und welche Rolle spielt dabei die militärische Ausbildung?
Tödling: Wir versuchen wie ein richtiger Gegner vorzugehen. Unser militärisches Wissen ist dabei eine sehr gute Grundlage, um Angriffe zu planen, zu organisieren und durchzuführen. Wir folgen dem klassischen Intelligence Cycle, also einem genau gegliederten Ablauf der Aufklärung beziehungsweise Informationsgewinnung und -beschaffung. Letztlich geht es in unserer Arbeit darum, strategisch bedeutsame Unternehmensrisiken strukturiert verarbeitbar zu machen. Heißt: Wir sehen uns die Lage an, vereinfachen sie, interpretieren sie und gehen gemeinsam mit den Unternehmen dazu über, Schlüsse zu ziehen. Frei nach dem militärischen Motto: Darstellen, bewerten und folgern. Durch umfassendes Aufklären großer Unternehmen haben wir über Jahre demonstriert, wie sich militärisches Wissen auf Großunternehmen und mittelständische Unternehmen anwenden und übersetzen lässt.
David Jaklin: Zudem arbeiten wir natürlich sehr stark auf der technischen Ebene: Ein wesentlicher Teil unserer Arbeit besteht darin, dass wir Firmen helfen, ihre Verteidigungskapazitäten besser zu organisieren und sie zu aktualisieren. Dazu gehören insbesondere technische Maßnahmen von der Optimierung der gesamten IT-Sicherheitsarchitektur bis hin zu internen Abläufen und Prozessen.
Welche Entwicklungen stehen hinter all dem? Woher rührt der Bedarf?
Jaklin: Es gibt in vielen Unternehmen nach wie vor großen Aufholbedarf, sich auf die Cyberbedrohungslage und geopolitische Entwicklungen besser einzustellen. Noch immer herrscht in vielen Firmen der Glaube, dass nichts Gravierendes passieren könne. Stichwort: Insel der Seligen. Aber Cyberkriminalität ist ein globales Business und kennt keine Staatsgrenzen. Und spätestens seit Corona hat jeder gemerkt, welche Bedeutung etwa globale Lieferketten haben und was es heißt, wenn es zu Unterbrechungen kommt. Mit dem Ukraine-Krieg wird noch einmal klarer, wie stark globale Krisen auf uns Einfluss nehmen. Etwa in Form von hybriden Bedrohungen, bei denen Cyberangriffe eine große Komponente bilden. Mit unserer Arbeit wollen wir Bewusstsein für diese Form von Bedrohungen schaffen. Ziel ist es, in Unternehmen eine ganzheitliche Herangehensweise für sämtliche Cyberszenarien zu schaffen.
„Ein wesentlicher Teil unserer Arbeit besteht darin, dass wir Firmen helfen, ihre Verteidigungskapazitäten besser zu organisieren und sie zu aktualisieren.“
David Jaklin von Alite
Wer sind die Akteure hinter Cyberbedrohungen? Welche Angreifertypen spielen generell eine Rolle?
Tödling: Wir unterscheiden grundsätzlich zwischen privaten und staatlichen Akteuren. Eine bedeutende Gruppe sind staatliche Akteure, also Nachrichten- und Geheimdienste sowie diverse halbstaatliche Gruppierungen, die versuchen, nationalstaatliche Ziele umzusetzen oder zu unterstützen. Ein paar der größten Akteure kommen derzeit aus Russland. Dort gibt es verschiedene Gruppierungen, die diversen Geheimdiensten zuzuordnen sind, seien es Inlands- oder Militärgeheimdienste. Diese führen gemäß ihrem Auftrag unterschiedlichste Angriffe in alle möglichen Richtungen aus: Etwa lang anhaltende Angriffe, wie wir gerade in der Ukraine sehen. Diese Gruppen nennt man APT – Advanced Persistent Threats, wobei russischen APT-Gruppen plakative Namen wie „Fancy Bear” oder „Cozy Bear” gegeben werden, um ihr Herkunftsland zu verdeutlichen. Sie haben insbesondere die Sabotage von kriegs- und lebenswichtiger Infrastruktur zum Ziel. Staatlich gesponserte APT-Gruppen aus China haben wiederum einen anderen Fokus. Ihnen geht es oftmals um Industrie- und Wirtschaftsspionage, aber auch kritische Infrastruktur ist dort Thema.
Jaklin: In den vergangenen Monaten hat die chinesische APT-Gruppe „Volt-Typhoon” für Aufsehen gesorgt, weil eine ihrer Operationen vom US-Department of Justice aufgedeckt wurde. „Volt-Typhoon” hat auf Zeit gespielt, das heißt, sie haben sich im großen Stil in die kritische Infrastruktur der USA gehackt mit dem Ziel, sich langfristig festzusetzen und den Zugang zu sichern. Warum genau, darüber kann nur spekuliert werden. Offizielle Einschätzungen sind, dass sie im Fall eines Krieges, also beispielsweise wenn China Taiwan angreifen sollte, sofort aktiv werden können, um Angriffe auf kritische Infrastruktur der USA oder andere westliche Länder durchzuführen.
Wie sieht es mit privat organisierten Gruppierungen aus?
Tödling: Auch Private spielen eine große Rolle. Der „Klassiker” sind nach wie vor Ransomware-Gruppen. Also Gruppen, die Daten und Systeme von Unternehmen verschlüsseln, um sie zu erpressen. Den großen Playern werden auch sehr bildhafte Namen wie „Akira”, „Lockbit” oder „Black Cat” gegeben. Diese Gruppen greifen Unternehmen mit der Zielsetzung an, Geld zu erwirtschaften. Sie fordern Lösegeld und bieten den Firmen im Gegenzug einen Schlüssel an, der den Datenzugriff wieder ermöglicht. Oder sie lukrieren Geld, indem sie erbeutete Daten verkaufen.
Jaklin: Manche Gruppen haben in den vergangenen Jahren ein riesiges Ökosystem aufgebaut und arbeiten sehr diversifiziert. Da gibt es ein Team, das angreift. Ein anderes führt die Kommunikation durch. Und es gibt ein weiteres Team, das eine Art „Kundenservice” bietet. Von dort kommen dann die Anweisungen, wann und wohin die Geldbeträge, meist in Bitcoins, zu überweisen sind. Es haben sich ganze Netzwerke gebildet. Damit gab es in diesem Bereich einen ungeheuren Professionalisierungsschub.
Wie dringe ich am schnellsten in das System eines Unternehmens ein?
Tödling: Einer der einfachen Wege führt über alte Passwörter. Die gibt es reichlich im Darknet zu kaufen oder sind offen verfügbar. Das sind Passwörter, die gestohlen wurden oder verloren gingen. Um diese anzuwenden, verschaffe ich mir zunächst einen Überblick über alle möglichen Login-Fenster einer Firmen-Website. Im Anschluss nehme ich alle E-Mail-Adressen und Passwörter und probiere diese stumpf durch. Profis machen das natürlich automatisiert. Eine Social-Engineering-Masche, die gerne angewendet wird, ist beispielsweise der Anruf oder die Mail einer vermeintlichen IT-Mitarbeiterin, die vorgibt einen Virus abwehren zu müssen und daher das Passwort benötigt. In diesem Bereich sind der Kreativität keine Grenzen gesetzt. Was zählt, um in ein System eindringen zu können, ist eine gute und glaubwürdige Geschichte. Wir haben bereits vor einer auftraggebenden Firma Plakate mit einem gefakten Gewinnspiel für Mitarbeiter aufgestellt beziehungsweise Flyer in die Firma geschickt. Der abgedruckte QR-Code führte zu einem Login-Portal, das wie jenes der Firma aussah. Dort wurden Mitarbeiter dazu angeregt, ihre Login-Daten einzugeben. Beim Thema Zusendung von Schadsoftware per E-Mail gilt dasselbe. Ich muss um einen Link herum eine glaubwürdige Geschichte bauen, damit dieser geklickt wird.
Jaklin: Gerade in diesem Bereich spielt Künstliche Intelligenz eine große Rolle und wird eine immer größere Rolle spielen. Mittels KI lassen sich Abläufe unfassbar beschleunigen und verfeinern. Etwa was das Durchprobieren von Passwörtern betrifft. Auch das Spinnen einer Lügengeschichte hat sich mittels KI professionalisiert. Das beginnt beim Generieren von professionell klingenden Texten und einer hochwertigen Übersetzung. Auch die Recherche wird aufgrund von KI einfacher. Gefakte Fotos und Deepfake-Videos sind ebenso stark auf dem Vormarsch. Der gesamte Content wird hochwertiger und ist daher schwerer als Fake zu erkennen.
Tödling: Hier wird es in den kommenden Jahren noch zu großen Herausforderungen kommen. Abschließend ist zu sagen, dass trotz dieser Bedrohungen und Risiken auch Chancen durch Professionalisierung zu realisieren sind.
Hier geht es zu weiteren Meldungen zum Thema Cyber-Sicherheit.
